[kullervo]

Jag satt och kollade lite i felloggen till Apache och såg (som vanligt) att någon försökt exploita säkerhetshål i IIS. Ingen vettig person försöker utnyttja säkerhetshål i IIS på en Apache-server, så förmodligen är det ett datavirus som försöker sprida sig vidare (såsom nimdA gjorde). Så jag kollade upp vilken användare som använt den IP-adressen senast och skickade iväg ett PM om att hon bör fundera på att skaffa virusskydd för hennes egna bästa.

Vad tror ni om att göra ett script som automatiskt betar av error_log och sedan skickar iväg ett varningsmeddelande till användarna? Givetvis ska scriptet endast matcha en användare och ett felmeddelande där användaren loggat in under samma tidsperiod (några timmar) som felet uppstått eftersom det är vanligt med DHCP.

[Westman]

Lite OT men ändå: Nu kommer jag inte ihåg vilket virus det var (kan ha varit Nimda) men jag fick tag på en liten kodsnutt som vände på det hela så för varje ipadress som försökte hacka min server så utnyttjade koden säkerhetshålet och stängde av den maskinen.

[GuzZzt]

Man borde som kullervo skriver kunna svara med att "hacka servern". Men att man då är så snäll att man patchar den istället för att stänga av den.

[kullervo]

Citat:

Originally posted by GuzZzt@Feb 24 2005, 09:19
Man borde som kullervo skriver kunna svara med att "hacka servern". Men att man då är så snäll att man patchar den istället för att stänga av den.

Skrev jag otydligt? Jag undrade bara om det är en bra idé att med automatik meddela användare som har virus på sin dator. Virusen avslöjar sig nämligen ibland genom att försöka utnyttja säkerhetshål i Microsofts webbservrar vilket lätt kan ses i loggarna.

[andhol]

Det är ju en sak om du skickar mail till en registrerad användare med tips av detta slag, tänk bara på hur du formulerar dig då personer som surfar runt med maskar och virus av olika slag sllt för sällan vet hur de får bort dem. (Än mindre att de har dem, så upplysningar är nog inte fel)

Nackdelen är att jag direkt får en flashback från diverse pop-up fönster där det står något i stil med "your computer is not safe, click here" men formulerar man sig på rätt sätt och bara meddelar reggade anvädare (och då kanske via e-post där man även skriver vilken källa man har) borde det bara ses som positivt tycker jag i alla fall.

/Anders Holgersson

[kullervo]

Citat:

Originally posted by andhol@Feb 25 2005, 05:31
Det är ju en sak om du skickar mail till en registrerad användare med tips av detta slag, tänk bara på hur du formulerar dig då personer som surfar runt med maskar och virus av olika slag sllt för sällan vet hur de får bort dem. (Än mindre att de har dem, så upplysningar är nog inte fel)

Nackdelen är att jag direkt får en flashback från diverse pop-up fönster där det står något i stil med "your computer is not safe, click here" men formulerar man sig på rätt sätt och bara meddelar reggade anvädare (och då kanske via e-post där man även skriver vilken källa man har) borde det bara ses som positivt tycker jag i alla fall.

/Anders Holgersson

Bra synpunkt. Om jag fixar denna funktion så kommer det därför bli ett PM innom sajten.

[hedberg]

Får ibland mail från okända människor som säger: "Varför skickar du virus till mig? Jag öppnade ett mail från dig och då fick jag virus i datorn".

Då brukar man maila tillbaka och säga: "Nej, du har inte fått det av mig, och öppna inte mail från okända. Skaffa virus- och brandväggsprogram."

Det är intressant att se vilka adresser man brukar få virus/spam till. Vi har en mailadress vi använde i typ 1-2 månader i samband med vårt bröllop. Den skrevs ut på en gästbok till en svensk bröllopssite, och vips så ramlade det in virusmail. Allt på den mailadressen filtreras bort i vårt mailprogram. Det är några år sedan nu, men det kommer ändå dagligen mail dit.

Däremot andra adresser som har publicerats mycket mer på nätet än bröllopsadressen får inte virusmail. Det är ofta intressant att se hur länge det varar.. En av våra relativt nyligen publicerade domäner har börjat få Nigeriabrev och bara det.. En annan får vi erbjudanden om äkta Rollexxx klockor och bara erbjudanden om det.

Tillbaka till ämnet , men är du säker på att det är "rätt" IP, det kan likväl vara någon illvilling som utnyttjar ett oskyddat WLAN för att hacka dig?

[kullervo]

Citat:

Originally posted by hedberg@Feb 27 2005, 20:09
Tillbaka till ämnet , men är du säker på att det är "rätt" IP, det kan likväl vara någon illvilling som utnyttjar ett oskyddat WLAN för att hacka dig?

Oj vad långsökt! Dessutom är datavirusen inte så intelligenta. Åtminstonde långt från alla. Det märks när dom gör korkade saker. Såsom att försökta utnyttja säkerhetshål i IIS på en Linux-burk som kör Apache. Om en användare loggar in med IP-adressen 123.123.123.123 kl 12.00 och ett exploit-försök från 123.123.123.123 inträffar vid 15.00 samt att samma användare loggar in igen med samma IP-adress kl 17.00 är det så gott som 100% chans att exploit-försöket kom från den aktuella användaren (eller någon annan av dess datorer om de ligger bakom NAT). Det låter bombsäkert i mina öron.